Криминалистический анализ реестра Windows
13 февраля, 2026, Oleg Afonin
Реестр Windows остаётся одним из важнейших для расследования источников информации. Анализ ключей и значений реестра позволяет реконструировать системную активность и поведение пользователя. Реестр содержит информацию о запущенных программах, доступе к данным и подключении внешних устройств. Без автоматизированных криминалистических инструментов исследование реестра малоэффективно, но даже с их использованием интерпретация результатов всегда остаётся задачей эксперта.
checkm8 для iPad, iPod Touch и Apple TV
21 июня, 2022, Oleg Afonin
В девятой бета-версии iOS Forensic Toolkit 8.0 для Mac появилась поддержка криминалистически чистого извлечения для ряда моделей iPad, iPod Touch и Apple TV, работающих под управлением всех версий iOS до 15.5 включительно.
Получение доступа к конфиденциальным данным в условиях правовой неопределённости
20 июня, 2022, Vladimir Katalov
Куда подать запрос на выдачу пользовательских данных у крупных международных организаций и что можно получить в результате
Последний из iOS 14: низкоуровневый анализ iOS 14.8.1
9 июня, 2022, Oleg Afonin
В свежей версии инструментария iOS Forensic Toolkit 7.40 добавилась поддержка iOS 14.8.1 для всех устройств, а для платформы Apple A14 — целого ряда версий iOS 14.4 – 14.8.1. Это обновление не совсем обычно: впервые за время существования агента-экстрактора был использован новый неопубликованный эксплойт.
Wi-Fi: аудит безопасности беспроводных точек доступа
8 июня, 2022, Oleg Afonin
Современные беспроводные сети защищены от несанкционированного доступа по стандарту WPA/WPA2. Наиболее часто используемый метод защиты доступа к беспроводной сети — это заранее заданная парольная фраза, текстовый пароль. По стандарту WPA, минимальная длина пароля – 8 символов. С учётом этого атаки на данный тип паролей методом полного перебора сравнительно малоэффективны, даже если они выполняются в сети компьютеров с GPU-ускорением. В то же время пароли к беспроводным сетям регулярно компрометируются или «утекают» с различных устройств.
Анализ авторизованной пользовательской сессии: извлечение ключей BitLocker
20 мая, 2022, Oleg Afonin
Анализ авторизованной пользовательской сессии – зачастую единственная возможность получить доступ к зашифрованным данным, если загрузочный диск защищён посредством BitLocker. В этой статье мы расскажем, как извлечь ключи шифрования от зашифрованных дисков для последующего исследования снятых с них образов.
Перебор паролей на процессорах Intel Alder Lake 12-го поколения
18 мая, 2022, Oleg Afonin
В процессорах семейства Alder Lake, представленных Intel в конце прошлого года, используется гибридная архитектура. «Большие», мощные P-ядра дополняются энергоэффективными ядрами E-cores. Распределением задач между ядрами P и E занимается планировщик потоков. Мы обнаружили, что на задачах восстановления паролей работа планировщика в Windows 10 далека от оптимальной, что может привести к кратному падению производительности.
checkm8: Разблокировка и извлечение данных из iPhone 4s
12 мая, 2022, Elcomsoft R&D
В седьмой бета-версии Elcomsoft iOS Forensic Toolkit 8.0 для Mac появился новый способ извлечения данных, использующий одноплатный микроконтроллер Raspberry Pi Pico для доступа к данным. Первой моделью смартфона, поддерживаемой комплексом, стал iPhone 4s, планшетов – iPad 2 и 3 поколений. В этой статье описан процесс сборки, настройки и использования аппаратного контроллера для разблокировки iPhone 4s и его последующего анализа.
Как определить модель iPhone, включая и не включая устройство
5 мая, 2022, Oleg Afonin
Успешный криминалистический анализ iPhone требует точной информации о том, какое именно устройство исследуется, каким процессором оборудовано и под управлением какой версии iOS оно работает. Сегодня мы рассмотрим несколько вариантов, которые помогут узнать, какой iPhone вы держите в руках, начиная с внешних признаков и нанесённых на корпус идентификаторов и заканчивая информацией, доступной исключительно программным способом.
Извлечение образа файловой системы из iPhone 13
29 апреля, 2022, Oleg Afonin
Мы продолжаем работу над следующим крупным обновлением iOS Forensic Toolkit, но корректно реализовать извлечение через эксплойт загрузчика — исключительно непростая задача. В очередной бета-версии мы добавили поддержку свежих версий iOS (до 15.4.1 включительно) и повысили стабильность работы эксплойта. Тем временем в основной версии продукта мы добавили поддержку iOS 15.1.1 для всех устройств, включая актуальную линейку iPhone 13. О том, как извлечь образ файловой системы из iPhone 13 — в этой статье.
Установка агента-экстрактора на iPhone
29 апреля, 2022, Oleg Afonin
Для полного извлечения файловой системы из устройств Apple крайне желательно иметь учётную запись разработчика, но на компьютерах под управлением macOS есть возможность использовать и обычные. Использование учётной записи Apple ID, не принадлежащей разработчику, сопряжено с определёнными рисками и ограничениями. В частности, необходимо подтвердить цифровую подпись агента извлечения на исследуемом iPhone, для чего требуется подключить телефон к Интернету. В этой статье мы расскажем, как установить агент-экстрактор и верифицировать подпись с обычного Apple ID безопасным образом.
